Domino как источник сертификатов

Шаг 6: включение SSL на сервере Domino

Если это еще не сделано, переместите, прежде чем продолжить, файл кольца для ключей сервера (keyfile.kyr) в директорию данных сервера Domino. Затем выполните следующие действия:

1. Откройте документ Server сервера Domino и переведите его в режим редактирования, как показано на рис. С.29.
   

   
   увеличить изображение
   Рис. C.29. Документ Server: раздел Web
2. Перейдите на закладку Internet Ports (Интернет-порты) и введите следующую ин- формацию в разделе параметров SSL [прежде убедившись, что в поле SSL key file name (Имя файла ключа SSL] указано правильное имя):
   • SSL key file name (Имя файла ключа SSL): keyfile.kyr;
   • SSL protocol version (Версия протокола SSL): Negotiated (По согласованию);
   • Accept SSL site certificates (Принимать SSL-сертификаты сайтов): No;
   • Accept expired SSL certificates (Принимать просроченные SSL-сертификаты): Yes.
3. Перейдите в раздел Web (HTTP/HTTPS) и измените или введите следующую информацию:
   • SSL port status: Enabled;
   • Authentication options:
     • Client certificate (Сертификат клиента): No (для сертификатов SSLv3 браузеров);
     • Name & password (Имя и пароль): Yes (базовая аутентификация по имени и паролю);
     • Anonymous (Анонимный): Yes (для анонимного доступа).
   Примечание. В данный момент, поскольку мы еще не выпускали клиентские сертификаты, в поле Client certificate authentication (Аутентификация по клиентским сертификатам) нужно указать значение No ; в противном случае может возникнуть путаница, когда пользователям будет предложено проходить SSL-аутентификацию, а у них не будет сертификатов, которые можно представить серверу Domino.
4. Нажмите Save and Close (Сохранить и закрыть). Если вы редактировали из данного документа документ Server другого сервера, выполните репликацию базы данных NAMES.NSF на удаленный сервер, прежде чем начинать использовать SSL. SSL перезапустится в момент перезапуска Domino или, более конкретно, при перезапуске задачи HTTP. Используйте команду tell http restart для перезапуска задачи HTTP и немедленной активизации SSL (но вы также можете использовать команду tell http quit, а затем команду load http).

Теперь вы установили и активизировали SSL на сервере.

Шаг 7: тестирование SSL

Существует 2 способа проверки правильности и работоспособности конфигурации SSL.

Первый способ – это ввести с консоли сервера команду tell http show security.

Сервер должен вернуть следующую информацию:

10/30/2005 07:28:18 PM Base server:
10/30/2005 07:28:18 PM SSL enabled
10/30/2005 07:28:18 PM Key file name: c:\domino\data\keyfile.kyr
10/30/2005 07:28:18 PM Secure server started

Второй способ протестировать SSL – это обратиться к серверу, используя такой URL: https://domino.lotus.com/names.nsf?Open

Вероятно, при тестировании SSL на этой стадии будут возникать предупреждающие сообщения. Если в данном упражнении в качестве источника сертификатов использовался Domino CA, то в хранилище сертификатов браузера данный источник не будет обозначен как доверенный корневой. Следовательно, доверие к сертификату, представленному сервером, отсутствует и поэтому выводится предупреждение, показанное на рис. С.30.

Рис. C.30. Предупреждение: недоверенный сертификат

Если вы продолжите работу (нажав Yes ), появится другое предупреждение системы безопасности, показанное на рис. С.31. Если вы снова продолжите работу (нажмете Yes ), URL будет загружен точно так же, как если бы никаких предупреждений не было.

Если аутентификация сертификата клиента была включена, возникнет ситуация ошибки и появится диалоговое окно аутентификации, показанное на рис. С.32. Это окно пустое, поскольку на данном этапе сертификат пользователя не сгенерирован и не введен в хранилище сертификатов Web-браузера.

Рис. C.31. Еще одно предупреждение после принятия решения о продолжении

Рис. C.32. Проблема аутентификации клиента